工标网 回首页
标准分类  最新标准New!  标准公告 标准动态  标准论坛
 高级查询
帮助 | 登录 | 注册
查标准上工标网 免费查询标准最新替代作废信息
 您的位置:工标网 >> 标准动态 >> 标准新闻 >> 新闻内容

服务器安全国标的冲击力


作者: 刘洪宇     来源:赛迪网     更新时间:2007-12-24       评论: 0

  12月1日,由国产服务器厂商牵头起草的我国首部服务器安全标准正式实施。这部标准究竟要解决什么问题?对利益相关方将产生哪些影响?又会带来哪些长远的变革?

  近年来,在网络和信息安全领域,DDoS(分布式拒绝服务攻击)日益成为最显著的攻击方式,其涉及范围之广和攻击程度之深都是空前的。通常情况下,黑客会在这种攻击中首先控制一台根服务器,进而以这台服务器为据点,控制子服务器作为新的根服务器……如此衍生形成大批量的服务器和终端机器,从而实施大规模的安全攻击,而一旦这种攻击事件爆发,对源头的追溯将是非常棘手的一个难题。

  据国家计算机网络安全应急技术处理协调中心发布的报告显示,仅2007年上半年,就发现了8361个境外控制服务器对我国内地的主机实施控制。

  在严峻考验的现实之下,12月1日,由国家标准化管理委员会和国家质量监督检验检疫总局联合颁布并开始实施的国标GB/T21028-2007《信息安全技术·服务器安全技术要求》便愈加受到关注。作为我国信息安全战略部署的重要组成部分,它的到来究竟意味着什么?

  系统地权衡服务器安全

  记者了解到,该国标是我国第一个服务器安全标准,既填补了国内在服务器安全技术领域的空白,也是落实国家信息安全等级保护制度的重要执行文件。该标准体系由国产服务器厂商浪潮牵头制定,联想、曙光也同为体系起草的重要成员。

  据浪潮派出的标准主要起草人刘刚介绍,我国的信息安全体系呈金字塔结构,塔尖是《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)和《关于信息安全等级保护工作的实施意见》(公通字[2007]66号)等确定了“等级保护安全体系”这个发展方向的文件和法规;塔基则是根据等级保护安全体系建立的安全技术规范体系,把塔尖的政策法规变成可供执行的技术规范。据了解,此次实施的服务器安全标准规定了服务器所需的安全技术要求,从服务器安全保护等级划分的角度,对设计、生产、制造、选配和使用相关安全等级服务器提出了通用安全技术要求。它的生效和实施,使服务器安全从此有章可循。

  在这个标准当中,服务器不再仅仅是个硬件概念,更是一个信息系统,而且是一个软、硬件结合的信息系统。具体而言,它以操作系统和硬件系统为基础,担负着对信息和数据存储、传输、处理和发布的重要任务。因此,这个意义上的服务器既是网络信息的载体,又是信息交换的媒介,这也就是为什么几乎所有网络攻击都直接或间接针对服务器的原因。

  刘刚表示,在该标准出台前,我国对服务器安全技术的要求基本上只体现在操作系统、数据库管理系统等单一层面上,没有对整个服务器系统安全性从内在联系上形成统一认识。据悉,在国外,美国、加拿大等国家的分级安全保护制度推进得较早,我国在1999年制定GB 17859-1999 计算机信息系统安全保护等级划分准则》就曾参考过美国TCSec标准。但刘刚认为,国外大多也只在操作系统、数据库管理系统、应用系统等几个层面单独形成了相关标准和规范,作为对外提供应用服务的整个服务器系统却没有标准和规范,而中国则在这方面走在了世界前列。

  谁会受到影响

  从信息安全的分级制度来看,《信息安全等级保护管理办法》(公通字[2006]7号)明确规定,信息系统的安全保护等级分为五级,从第一级往上依次为:自主保护级、指导保护级、监督保护级、强制保护级及专控保护级。其中,从第三级开始,信息系统的安全保护等级就适用于涉及国家安全、社会秩序和公共利益的重要信息系统及核心子系统。

  此次服务器安全等级的实施,直接影响到的用户就是与国家经济安全直接相关的三级及三级以上的用户单位,如银行、税务、海关等。当然,该服务器安全国标对生产厂商、使用单位和测评机构都具有一定的约束和规范能力。该标准一旦得到贯彻与落实,最终将提高服务器系统的抗攻击能力,从而实现对服务器系统的保护。

  由于安全分级是承建单位自己根据指导文件建设,并经公安机关指定的专门测评机构进行评定的,因此服务器安全国标的出台将使这些用户的采购行为逐渐发生变化。为了建设三级以上的信息安全系统,承建单位不仅要按照单项采购的安全标准来选购网络设备,比如操作系统、服务器硬件、防火墙等,还要最终按照出台的服务器安全国标来检验整个系统的安全性。这就将过去割裂的点连成了有机整体,形成了全方位的安全评估。而对于一般企业来说,这个标准出台也同样为它们提供了一整套信息系统安全的评估参考,只是更多是指导性意见,企业采购依然有着充分的自主权,它们可以按照自己所需的安全等级量体裁衣。

  服务器安全国标是对软硬结合的系统描述,因此对整个链条上的生产厂商都提出了要求。为了满足这部分安全等级需求,一些特定行业的用户就需要与安全等级要求相匹配的安全产品。比如我们常用的操作系统安全等级为二级,就算是备有完整软硬件的小型机,其安全等级也没有达到三级标准;服务器硬件本身也在硬件防护、安全芯片等方面具有进一步提高安全性能的空间……由此可见,在技术标准具备的可行性与前瞻性局限性下,并非现有技术都能达到标准的要求,这就要求与信息系统相关的设备提供商遵从这一标准来进行技术升级。

  记者了解到,服务器安全国标属于技术标准的范畴。在此基础上,有关服务器安全的产品检测、认证标准也正在进行中。目前,浪潮正会同公安部第三研究所来共同起草这一标准,并有望在2008年正式出台。这样,测评机构对于技术标准中注明的技术规定,就有了明确的对应国标来指导测评,完成了从建设到最终测评的闭环。

  细分产品线或将涌现

  随着服务器安全国标的落实,原有的服务器产品线很可能贯以不同安全级别,推出细分的产品。刘刚认为,具备细分类别服务器的厂商将在经过相关部门检测之后,以持有安全认证证书的方式指定型号或产品系列,专门用于满足搭建三级以上的信息系统。但是无论如何,服务器细分市场的出现还只是行业预测,只有当市场需求量达到一定的量级时,才有可能真正实现。

  联想方面的起草代表谢军也表明了类似的观点,他进一步表示,针对安全等级要求较高的特别客户进行一整套方案定制的做法将更为可行,这样的模式将优先于分级服务器的出现。同时,对于不能通过设备采购达到指定安全级别所要求的用户来说,还可以采用补充的软硬件来实现安全等级加固,就如同给操作系统打补丁一样。而这种补充采购也将引出新的技术方向,并有望成为厂商新的利润增长点。

  中国信息安全国标的进阶

  政策制定

  2003年9月,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)颁布,提出要在5年内建设中国信息安全保障体系,规定基础性和支撑性的工作一共是八项,其中较重要的一项是等级保护制度。

  2004年,《关于信息安全等级保护工作的实施意见》(公通字[2007]66号)出台,把等级保护确认为国家信息安全的基本制度和根本方法,把等级保护提到一个新的高度,确定了等级保护的实施方法、原则分工和计划等。

  试点阶段

  2005年,公安部出台了等级保护规范;2006年,对等级保护制度进行了重点试点工作;2006年,信息安全管理规范的试点工作也基本完成。

  2005年灾难备份标准出台,2006年在中国的基础性行业,如金融、电信、民航等,积极探索灾备和业务连续性模式有了明确的结果,2007年在更广泛的领域得到了推广。

  2006年6月,中国信息安全认证中心正式获准成立。至此,我国信息安全认证认可体系的建设构架基本形成,工作机制基本确定,对信息安全产品实施统一认证的条件基本准备就绪,标志着我国信息安全认证认可体系建设迈出了重要步伐。

  落实阶段

  2007年,《信息安全等级保护管理办法》(公通字[2007]43号)出台。

  2007年,《信息安全技术·服务器安全技术要求》发布并实施,为国家信息安全等级保护制度的顺利推广和全面落实建立起技术支撑体系。

  2008年,《信息安全技术·服务器安全技术要求》将被作为篮本,用于制定并出台服务器安全检测认证标准。

 

 【返回新闻首页】【关闭窗口】【发表评论(0条)
 
相关新闻
·中国家电行业首次成功获批国际标准海尔防电墙 ·电源标准简介
·全国采用国际标准工作会议在京召开 加快采标 ·全国有色金属标准化技术委员会有色标秘 [2
·厂商呼吁应尽快出台手机锂离子电池新国家检测 ·童车生产企业应关注EN-14765:200
·我国将加快制定可再生能源统计标准 建立科学 ·国际新标准将出台 能耗标准缺失或成平板电视
·关注家电产品可再生利用率标准(1) ·关注家电产品可再生利用率标准(2)
发表评论
新用户注册>>
【管理员提示】
·在发布信息时,请您遵守中华人民共和国有关法律、法规,并尊重网上道德;
·因您的言论直接或间接的导致的民事或刑事法律责任由您个人承担;
·管理人员有权根据栏目需要对留言内容进行删改
推荐资讯
·中华人民共和国国家标准批准发布公告2024.. ·国家铁路局公告 2024年第28号
·民政部公告 第574号 ·住房城乡建设部 国家发展改革委关于批准发布..
·中华人民共和国行业标准备案公告 2024年.. ·中华人民共和国行业标准备案公告 2024年..
·国家能源局公告 2020年第5号 ·中华人民共和国生态环境部公告2024年(第..
·国家市场监督管理总局公告 2024年第46.. ·国家市场监督管理总局公告 2024年第30..
热点新闻
国家铁路局修订《铁路旅客车站设计规范
《食品冷链物流追溯管理要求》《物流园
《高速公路交通安全管控天气风险预警等
预计到2025年我国新制定30项以上
《轨道车 重型轨道车》等7项铁路国家
《绿色产品评价 物流周转箱》国家标准
《低温仓储作业规范》国家标准获批发布
《标准轨距铁路限界 第1部分:机车车
自然资源部发布六十八项海洋行业标准
国家铁路局修订《铁路旅客车站设计规范
图片新闻

生活家电全面升级 标准助力门槛提高

数码相机有效像素国家标准近期出台

慕思助《软体床》标准看齐世界水平

新《电梯技术条件》国家标准于3月1日
专题新闻
· 思念三鲜水饺惊现病原菌
· 2011世界标准日专题-国际标准树立
· 天宫一号倒计时将实现首次空间对接
· 依据四项指标 严打“地沟油”
· 月饼出现双向标准 深陷枧水之困
· 名牌运动服含毒 可致性早熟
· 血燕亚硝酸盐严重超标
· “化学酱油”专题 酱油再遭质疑门
· 肯德基醇豆浆遭质疑
· 染色馒头泛滥 食品标准空白多
· 雀巢等知名婴儿食品陷入安全门
· 节能灯不合格 标准门槛低
 
付款方式 - 关于我们 - 帮助中心 - 联系我们 - 诚聘英才 - 合作伙伴 - 使用条款
QQ:1197428036 992023608 有问题? 联系在线客服
Copyright © 工标网 2005-2023,All Right Reserved